Difesa contro Keylogger della tastiera

20

Mi chiedo se ci sia un modo per difendersi dal Keylogger della tastiera USB (ovviamente diverso dal controllare fisicamente la tastiera ogni volta che si lascia il computer incustodito).

Oggigiorno, le persone possono acquistare keylogger cheep hw, come Keylama USB Keylogger , che sono piccoli e abbastanza difficile da scoprire, a meno che non lo stiate cercando.

Se qualcuno volesse installare tale keylogger sul mio computer, dovrebbe prima scollegare la tastiera. A condizione che la macchina sia in esecuzione (lascio sempre la mia macchina in esecuzione), questo evento verrebbe registrato in /var/log/kernel.log . Questo potrebbe essere un modo per avvertirmi.

C'è un altro modo?

EDIT: dovrei aggiungere che il mio intero disco rigido è crittografato e quindi un utente malintenzionato non può semplicemente eseguire l'avvio da USB / CD e modificare il mio sistema. Potrebbe formattare il mio disco / distruggere la mia macchina, ma non è questo il problema qui.

Inoltre, quando esco dal mio ufficio, lascio la mia macchina in funzione, ma mi disconnetto sempre.

Nel mio ufficio, le interruzioni di corrente sono estremamente rare. Se succede, questa sarà una ragione per me per controllare accuratamente la mia macchina per ogni possibile intrusione.

    
posta Martin Vegter 22.10.2013 - 17:35
fonte

7 risposte

10

L'uso di un laptop lo impedisce in modo efficace.

Potresti incollare la tastiera nella presa USB. Non ideale, ma hey: -)

Un altro è usare una tastiera Bluetooth, con Bluetooth integrato sul computer.

Ma questi sono tutti kludges in realtà; in generale sono d'accordo con gli altri commenti sul fatto che se un utente malintenzionato ha accesso fisico, la maggior parte delle scommesse è disattivata.

Questo è un buon esempio di dove è importante capire il tuo potenziale aggressore. L'approccio con la tastiera Bluetooth fermerà in modo affidabile un collega che installa casualmente tale dispositivo. Non fermerà la CIA / NSA - ma probabilmente non ti dispiace. Molte altre risposte presumono che i tuoi probabili aggressori siano altamente qualificati e dotati di risorse. Se sei così tanto un bersaglio, direi che non lo chiederesti su internet: -)

    
risposta data 23.10.2013 - 03:29
fonte
6

Tutta la difesa contro l'accesso fisico richiede l'utilizzo della sicurezza fisica.

Considerare il blocco del sistema e di tutte le periferiche di interfaccia in un hard-case protetto, che dovrebbe essere danneggiato / distrutto per poter accedere fisicamente al loro interno. In questo modo, almeno, sai quando qualcosa è stato manomesso fisicamente. Combina questo con la sicurezza del software come la crittografia a disco intero e hai la certezza che i dati su questa macchina sono accessibili solo da te (anche in caso di coercizione, se usi le funzionalità nascoste di TrueCrypt e naturalmente presumendo no o accesso alla rete limitato) .

Stavo pensando di scrivere una difesa contro l'attacco di EvilMaid che essenzialmente modifica il bootloader TrueCrypt per salvare la tua password per il successivo recupero. Ma devi considerare, non importa se hanno inserito un keylogger o dati modificati sul tuo disco, ecc., Puoi passare per sempre a pensare alle difese per le circostanze individuali, ma ci sarà sempre una tecnica più sottile che può essere usata ( incorporando il keylogger nella tastiera, toccando il cavo a nastro VGA nel laptop, è tutto fattibile.

L'accesso fisico può essere difeso solo con sicurezza fisica.

    
risposta data 22.10.2013 - 18:22
fonte
3

Come ha detto @Iszi, quando l'attaccante ha accesso fisico, allora può fare molto danno. In alcune circostanze, potrebbe anche non dover rimuovere il cappuccio; l'accesso a una porta USB potrebbe essere sufficiente per assumere il pieno controllo della macchina (vedere questa domanda ). Se l'attaccante dirotta la macchina, può rimuovere le righe incriminanti dai file di registro; può anche installare il suo keylogger direttamente nella memoria del kernel, e altre cose cattive dello stesso tipo.

Se l'attaccante ha un coltello e alcune abilità nell'elettronica, può anche accedere ai fili della tastiera senza scollegarlo, e collegare il suo dispositivo di spionaggio senza che il kernel dell'host sia messo a conoscenza in alcun modo. Per l'utente malintenzionato, questo è ovviamente più difficile del semplice plug-in di un keylogger off-the-shelf; è probabile che gli occorra qualche minuto e non può essere rimosso con discrezione.

Un diversivo può anche essere usato dall'attaccante. Può simulare una mancanza di energia (una corta, per pochi secondi) semplicemente tirando il cavo di alimentazione. Mentre la macchina è spenta, può collegare il suo keylogger, quindi ricollegare il cavo di alimentazione. Dai registri macchina, l'intero processo sembrerà davvero una "normale" mancanza di energia, come può essere indotto da una tempesta, o da un goffo bidello che maneggia la sua scopa in colpi troppo zelanti. Non una singola linea di log rivelerà la presenza del dispositivo keylogger.

La linea di fondo è che mentre puoi provare ad aumentare gli allarmi su eventi di disconnessione USB imprevisti, ci sono molti modi in cui l'hacker può aggirare questo meccanismo e qualsiasi altro meccanismo basato su computer.

    
risposta data 22.10.2013 - 18:10
fonte
3

Signori, andiamo.

Nessuna protezione è infallibile, ma sospetto che non sia questo il punto; Il punto è non essere un bersaglio morbido. Certo, un attaccante determinato non si fermerà a tutti gli ostacoli che potrebbe incontrare mentre prende di mira una macchina.

Ma devo dirti ... se dovessi essere l'attaccante e ho visto prove che il mio obiettivo è molto attento alla sicurezza (diciamo che implementa solo una delle varie misure sofisticate), sono probabile che trovo un bersaglio più debole per attaccare. L'intero punto di sicurezza è comunque la deterrenza, quindi ogni singolo livello di protezione (che si tratti semplicemente di prevenzione della manomissione o semplicemente consapevolezza) aggiunge "l'indurimento" dell'obiettivo.

Quindi ecco il mio contributo qui:

Qualsiasi altra cosa tu stia andando, se usi una tastiera basata su USB, vorrei trovare / scrivere qualche tipo di .vbs o script batch che possa essere modificato per avvisarti quando viene registrato un evento di Windows rilevando la rimozione di un dispositivo su una porta USB specifica . Esistono anche script che automatizzano l'invio di un'e-mail tramite Google tramite la riga di comando. E la maggior parte delle società di telefonia mobile offre inoltro di messaggi e-mail-SMS.

Forse solo per questa abilità da solo, potrei rimanere con una tastiera USB. Più suscettibile all'attacco, ma agisce anche come un richiamo per il tuo attaccante a prendere la via della resistenza minima (e più prevedibile). Se non puoi impedire un attacco, attira l'attaccante verso un "punto debole" che puoi proteggere. Se sei come me, dai un'occhiata almeno a ogni testo che ricevi in modo piuttosto religioso - e in caso contrario, puoi impostare un tono di allarme personalizzato a questo scopo per attirare la tua attenzione. Questo ti darà la migliore possibilità di conoscere non solo se ma quando qualcuno ha attaccato la tua macchina, il che potrebbe darti il tempo di scoprire chi potrebbe essere (magari configurare una web cam remota per iniziare a registrare quando si verifica questo evento di sistema - L'Utilità di pianificazione di Windows ti dà la possibilità di eseguire script o eseguibili quando si verifica un evento).

    
risposta data 12.11.2013 - 15:44
fonte
1

Legge n. 3 della sicurezza :

If a bad guy has unrestricted physical access to your computer, it's not your computer anymore

  • He could mount the ultimate low-tech denial of service attack, and smash your computer with a sledgehammer.

  • He could unplug the computer, haul it out of your building, and hold it for ransom.

  • He could boot the computer from a floppy disk, and reformat your hard drive. But wait, you say, I've configured the BIOS on my computer to prompt for a password when I turn the power on. No problem – if he can open the case and get his hands on the system hardware, he could just replace the BIOS chips. (Actually, there are even easier ways).

  • He could remove the hard drive from your computer, install it into his computer, and read it.

  • He could make a duplicate of your hard drive and take it back his lair. Once there, he'd have all the time in the world to conduct brute-force attacks, such as trying every possible logon password. Programs are available to automate this and, given enough time, it's almost certain that he would succeed.

  • He could replace your keyboard with one that contains a radio transmitter. He could then monitor everything you type, including your password.

Supponi sempre che il cattivo abbia aspettato questo momento di accesso fisico per settimane o mesi. Si è allenato sui cavi esatti da usare, potrebbe aver sostituito l'intera tastiera con una nuova replica bugged. Il cattivo sarà sempre più astuto dal fatto di essere un passo avanti a te. Una volta che ottiene quella piccola finestra di accesso, questo è tutto, game over.

    
risposta data 22.10.2013 - 18:21
fonte
1

Guardare gli eventi di inserimento USB imprevisti e guasti imprevisti di alimentazione sarebbe l'approccio più pratico. Almeno ti direbbero quando è il momento di condurre una ricerca fisica.

Ovviamente, questo è adattato alla specifica minaccia di un key logger commerciale standard, e non ti aiuterà a difendersi da un tipo di attacco diverso (Van Eck, rilevamento acustico, malware, ecc.) Ma quando key logger economici sono prontamente disponibili per il criminale comune, questo è il tipo di attacco che puoi aspettarti.

Sono tali minacce reali? Un grande magazzino di Nordstrom, in Texas, ha scoperto che un gruppo di tre uomini aveva collocato key logger su sei dei loro registri POS all'inizio di questo mese, apparentemente nel tentativo di scremare i dati dai lettori di carte di credito incorporati nelle loro tastiere. Sono stati catturati solo perché qualcuno ha osservato l'attacco, non a causa di una difesa tecnologica.

    
risposta data 23.10.2013 - 14:46
fonte
0

Solo una piccola aggiunta qui, quello che è già stato detto è buono:

La tua più grande difesa contro i keylogger e altri attacchi fisici è l'astuzia. Se presti attenzione al fatto che la tua apparecchiatura sia stata manomessa, rende molti più difficili da usare cose come i keylogger.

Hai ragione nel dire che i keylogger sono disponibili gratuitamente, a prezzi bassi, ma la maggior parte è camuffata da chiavette USB, adattatori o nuove periferiche. Solo notando se qualcosa è stato collegato, se le tue periferiche sono state interferite è probabilmente la tua più grande difesa dopo aver chiuso la porta.

    
risposta data 12.11.2013 - 16:04
fonte

Leggi altre domande sui tag